This is a machine translation. The original page (in English) is available here.

Dernières nouvelles du monde: - Pourquoi les états-UNIS envisage de TikTok Ban Flux RSS

La maison>Des nouvelles du monde>Adobe confirme Flash contient Microsoft dev bogue de code
Haut les enregistreurs de frappe
Afficher plus...

Adobe confirme Flash contient Microsoft dev bogue de code

  •  
Note des utilisateurs: aucun commentaire. Soyez le premier à revoir! 0 - 1 votes
Adobe s'avança hier à reconnaître que c'est le premier grand fournisseur tiers pour avoir utilisé Microsoft de failles dans le code de développement de ses produits.

Selon plusieurs avis de sécurité publié sur son site, le mardi, le Windows versions de Adobe Flash Player et Shockwave Player port de vulnérabilités, car Adobe a utilisé un buggy Microsoft code "bibliothèque" au cours de leur développement.

Il n'est pas surprenant que Flash Player est vulnérable à une attaque. Il y a trois semaines une paire de chercheurs allemands ont déclaré trouver de nombreuses applications tierces qui contiennent de l'imparfait de bibliothèque de code, et nommé Flash comme un exemple.

Adobe patché Shockwave Player hier, et sera à suivre demain avec un déjà-mise à jour prévue pour l'extrême-plus-populaires Flash Player.

"Nous avons évalué l'impact des versions vulnérables de Microsoft ATL (Active Template Library) sur Adobe portefeuille de produits [et] a déterminé que Flash Player et Shockwave Player sont les deux produits qui tirent parti des versions vulnérables d'ATL", a déclaré Wendy Pologne, de Adobe de l'équipe de sécurité dans une société de l'entrée de blog.

Mardi, Microsoft a confirmé que l'ATL (Active Template Library), une bibliothèque de code inclus avec Visual Studio, contenaient de multiples vulnérabilités, au moins un remontant jusqu'au début de 2008. Bien que Microsoft patché Visual Studio pour éliminer les bugs dans ATL, ces mises à jour ne pas réparer automatiquement les logiciels développés à l'aide de l'imparfait de la bibliothèque. Au lieu de cela, les fournisseurs, y compris Microsoft, doit utiliser le patché Visual Studio pour recompiler leur code, puis de distribuer les nouvelles, des logiciels sécurisés.

C'est ce que Adobe a fait hier pour une onde de Choc. Dans un bulletin de sécurité publié mardi, Adobe Shockwave Player mis à la Version 11.5.1.601, notant que le patch de correction d'une vulnérabilité critique qui pourrait être utilisé pour pirater un PC Windows.

Flash Player obtenir le même traitement jeudi, Adobe promis. "Adobe Flash Player 9.0.159.0 et 10.0.22.87, et plus tôt 9.x et 10.x les versions installées sur les systèmes d'exploitation Windows pour une utilisation avec Internet Explorer tirer parti d'une version vulnérable d'ATL," lire une consultatif posté hier. "Nous sommes dans le processus de développement d'un correctif pour le problème, et s'attendre à fournir une mise à jour pour Flash Player v9 et v10 pour Windows par le juillet 30, 2009," Adobe dit.

La semaine dernière, Adobe a promis de patch Flash Player d'ici demain pour aborder un autre bug qui a été exploitée en grand nombre par des criminels. Selon danois de suivi des bogues cabinet de Secunia, plus de 92% de tous les utilisateurs de Windows sont vulnérables à la version actuelle de Flash Player attaques.

D'autres logiciels Adobe, y compris le populaire Lecteur de PDF viewer -- qui sera également mis à jour pour fermer le trou qui a conduit à des attaques à grande échelle -- ne contient pas les conclusions de l'ATL code, la Pologne a dit. Le logiciel Adobe Reader plug-in pour Internet Explorer est ATL-sans bug, dit-elle, et bien que les failles sont cuits dans le Flash Player plug-in de navigateur, seuls les utilisateurs de IE sont vulnérables. "Les gens à l'aide de Flash Player dans le navigateur Firefox, ainsi que de toutes les autres Fenêtres des navigateurs qui ne sont pas sur Internet Explorer -- ne sont pas vulnérables", dit-elle.

L'un des trois bugs dans ATL est enracinée dans une simple erreur de programmation: Selon Microsoft et les chercheurs de l'extérieur, l'ATL fonction appelée "ATL::CComVariant::ReadFromStream" contient un unique étrangères caractère "&" .

Jusqu'à ce qu'un patch pour Flash est disponible, Adobe a exhorté les clients à "prendre en considération" l'installation de Microsoft MS09-034 mise à jour, que la société a livré mardi via Windows Update. Inclus dans cette mise à jour de IE sont de nouvelles mesures défensives qui sont censés détecter et de bloquer les contrôles ActiveX, Flash Player et Shockwave Player, qui ont été créés à l'aide de la boghei ATL.

Adobe poster des liens vers les patché Flash Player sur son site sur la sécurité.
Date de publication:
Auteur:
La maison>Des nouvelles du monde>Adobe confirme Flash contient Microsoft dev bogue de code
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.